IWI
search

検索SEARCH

製品ページ内検索

製品以外のサイト内検索

×
採用情報

マルウェア「Emotet」とは?
ウイルスの特徴、被害事例、感染確認方法と対処手順、最新情報

ゼロデイ攻撃とは?その仕組みや特徴と対策方法、被害事例

マルウェア「Emotet」とは

「Emotet」とは

Emotetとは、他のマルウェアを送り込むためのプラットフォームとして活用された世界で最も危険なマルウェアです。Emotetは感染端末から既存のメールスレッドを乗っ取り、関係者になりすましてメールを送ることで感染拡大を狙います。Emotetが作ったプラットフォームは、その他の攻撃グループが感染端末に第二のマルウェアを送り込むことを可能にしており、結果としてランサムウェアの被害に繋がるなど、大きな脅威になっていました。

2014年に初めて発見された当初、Emotetはオンラインバンキングの認証情報を盗み、不正送金を狙うバンキングマルウェアでした。オンラインバンキングの入力フォームに対してキートレースを行うのではなく、ネットワークトラフィックから認証情報を盗むところが特徴であったといいます[1]

当時のEmotet自体には感染拡大の機能はなく、脅威ではあったものの被害は限定的であり、大々的に話題にはならず他のマルウェアと同様に風化していきます。2017年以降に活動を活発化させたEmotetは、感染拡大機能の搭載など数度のアップデートを繰り返し、世界で最も危険なマルウェアと呼ばれるようになりました[2]。最終的にEmotetが窃取したメールアドレスは430万件に上ると言われています[3]

Emotetなどのマルウェア対策のPDF資料

Emotetを含む新種、亜種のマルウェア対策に関する下記のPDF資料がダウンロードできます。

・新種、亜種のマルウェア対策に強いMorphisec概要資料
・Morphisecが防いだ新種・亜種の命名されたマルウェア一覧

資料の詳細を見る

「Emotet」の特徴

Emotetは過去発見されたマルウェアの中でも感染力が強いマルウェアです。その感染力の特徴として工夫されたなりすましメールがあります。

マルウェアをターゲットまで送り込む方法としてメールにマルウェア(実際にはそのローダー)を添付するのは一般的な手法であり、今日においても主だった手法であると言えます。ユーザがメールに添付されたマルウェアを開封・実行しなければ、マルウェアは発症せず未然に防がれるわけですが、Emotetによる被害の多さを鑑みると他マルウェアに比べ開封率が高くなっていることが予想されます。

Emotetのメールの開封率が高くなる仕組みは、ターゲットが実際に行ったメールのやり取りを乗っ取ることにあります(スレッドハイジャッキング)。攻撃メールの多くは個人に依存しない汎用的な内容で、本文が数行または空であることもあります(ばらまき型メール)[4]。しかし、Emotetの場合、汎用的なメールではなく、ターゲット自身が実際にやり取りしたメールに返信する形で攻撃メールを送ります。ユーザは自身が送信したメールに対して、相手から返信が来たのだと思い、添付されたファイルを開いてしまいます。後にこうしたメールは「返信型」と呼称されるようになります。

Emotetが利用するなりますしメール例

自身に関係ある内容で開封を促す攻撃メールへの対応については、どういったメールが攻撃者から送られてくるかを知り、目を養うことが必要です。この対応力を磨くための標的型メール訓練というサービスが複数存在し、実際に実施されている企業も多くあります。しかし、Emotetが悪用するのはユーザにとってより自身に関係のある内容(ユーザ自身が送信したメール)であり、それは訓練メールの内容を超えています。ターゲットにメールを開かせる仕組みとしては、Emotetの攻撃メールは効果的であったと言えます。Emotetが送るメールの具体例については複数のサイトで公開されております[5]

Emotetなどのマルウェア対策のPDF資料

Emotetを含む新種、亜種のマルウェア対策に関する下記のPDF資料がダウンロードできます。

・新種、亜種のマルウェア対策に強いMorphisec概要資料
・Morphisecが防いだ新種・亜種の命名されたマルウェア一覧

資料の詳細を見る

なお、Emotetは感染端末から窃取したメール情報(スレッドなど)を利用しますが、メールを盗むために利用する初弾の攻撃メールは、通常のばらまき型メールと同様の形になります。内容はOfficeアップデートのほか、当時流行した新型コロナウイルスを題材にしたものや、年末にはクリスマスや賞与に関するメールが確認されています[6,7,8]

ターゲットがメールを開封したあとで、最終的に実行形式ファイルのマルウェアを動作させるために、攻撃者が用いている手段は複数あります[9,10]。これについてはEmotet特有というものではありませんが、参考に記載します。

・マクロ付きOfficeファイルが添付されている。マクロを有効にすると、Powershellが起動し、攻撃者が用意したサーバからマルウェアがダウンロードされ、感染する。

・メールにURLが記載されている。URLをクリックするとブラウザが起動し、オンラインストレージから上記と同様のマクロ付きのOfficeファイルをダウンロードされる。メールに直接URLを添付するのではなく、同様のリンクが記載されたPDFファイルが添付されていることもある。

・暗号化ZIPファイルが添付されている。ZIPファイルの解凍パスワードはメールに記載されており、ユーザの手によって解凍される。解凍すると、マルウェアに感染するマクロ付きOfficeファイルなどが含まれている。暗号化されたZIPファイルを用いることで、メール着弾までに通るネットワーク機器によるマルウェア解析をすり抜けやすくなっている。(Emotetの暗号化ZIPファイルは後述のPPAP廃止の後押しになった。)

Emotetマルウェア感染に至るまでのフロー

上記のどの流れにおいても、必ず攻撃者が用意したサーバからOfficeファイルやEmotet本体がダウンロードされてくる仕組みにあります[11]。この動作の中で確認されている事象として、URLからダウンロードされる検体が常に一定ではなく、頻繁に変更されている事象が確認されています。このような動作だとシグネチャのようなセキュリティではマルウェアの生成スピードに追いつけません。このことはEmotetの感染拡大の要因であると考えられます。実際、日本に限らず世界的に蔓延しているEmotetの感染被害の大きさを見ると、従来のセキュリティ対策では、Emotetのようなマルウェアを防ぐことはできないと言えます。

感染するとどうなる?

Emotetの目的は、冒頭に述べた通り、第2のマルウェアを感染端末に送り届けるためのプラットフォームになることです。そのためEmotetは感染端末からメール関連の情報を窃取します。感染端末から盗んだメール履歴やメールアドレスを利用し、これまで記載した通りの形式でメールを送り感染拡大を狙います。メールアカウントの認証情報を掌握されることも事例としてあり、その場合は送信されるメールがより自然なものになります。なお、送信されるメールの多くは被害端末のユーザを装うメールであることが多いですが、盗んだ情報から送受信のアドレスが確認できるため、直接Emotetの感染被害にあっていないユーザもなりすましの対象とされる事例もあります。また感染拡大の方法に関してEmotetは機能拡充を繰り返しており、Wi-Fi経由での感染を行う亜種も確認されています[12]

Emotetは他のマルウェアをダウンロードするローダーとしての役割があり、攻撃者はEmotetが動作する感染端末に対して第2のマルウェアを送りこむことができます。送りこまれるマルウェアとしてはバンキングマルウェアやランサムウェアが確認されています[13]

Emotetなどのマルウェア対策のPDF資料

Emotetを含む新種、亜種のマルウェア対策に関する下記のPDF資料がダウンロードできます。

・新種、亜種のマルウェア対策に強いMorphisec概要資料
・Morphisecが防いだ新種・亜種の命名されたマルウェア一覧

資料の詳細を見る

「Emotet」の日本企業の被害事例・感染事例

Emotetの感染事例は多く公開されていますが、そのうち3つの実例を取り上げて、Emotetの動作を確認してみます。

事例1:商社

300人弱の従業員を抱える商社では、Emotet感染の可能性が確認された時点で素早い対応が行われました。すぐさま外部に対して公表を行い、翌日には続報の実施を行っています。インシデントへの対応として、インターネット接続の遮断を行い、復旧するまでは全社的に外部との通信を禁止したそうです。業務への影響を考慮すると外部接続の遮断を踏み切るのは難しいですが、万が一に備えた準備ができていたのではないかと思います。さてEmotetの感染経路ですが、取り引き先企業の従業員を装ったメールを開封したことによる感染だったそうです。これはEmotetの感染事例としては多く見られるケースです。やはり、明らかなことではありますが、やり取りのある相手からのメールは開封しやすくなっています。

事例2:建設会社

従業員100人弱の建設会社も2度の公表を行っています。Emotet感染後になりすましメールが送信されたあと、しばらく落ち着いたのですが、半年ほど経ってから再びなりすましメールの送信が再開されたそうです。送信再開時にはEmotetに感染された端末はありませんでした。Emotetが送信するメールは感染端末から送信されているのではなく、感染端末から抜き出したメール情報(氏名やメールアドレス、本文など)を利用し、攻撃者の手元から送られているため、一度盗まれた情報の悪用は止められないということが分かります。

事例3:家具や医療器具の製造会社

Emotetが送るなりすましメールは、表示名こそ感染端末から盗んだ人物名になりますが、純粋な送信元アドレスは攻撃者が用意したアドレスになることがほとんどです。そのため送信元のアドレスから怪しいメールであると気付くことができます。しかし、まれに送信元のアドレスには何も怪しいところが見られないケースがあります。Emotetに感染した従業員500人強の製造会社はそのケースでした。Emotetは感染端末からメールアカウントの認証情報を奪い、ユーザが通常行うのと同じように、正規のメールサーバからなりすましメールを送信しました。当然送信元のアドレスは正しく被害者のメールアドレスになります。もし攻撃者がより自然なメールでなりすましメールを送ったとしたら、感染拡大を防ぐのは不可能だったと言えます。

Emotetなどのマルウェア対策のPDF資料

Emotetを含む新種、亜種のマルウェア対策に関する下記のPDF資料がダウンロードできます。

・新種、亜種のマルウェア対策に強いMorphisec概要資料
・Morphisecが防いだ新種・亜種の命名されたマルウェア一覧

資料の詳細を見る

「Emotet」の感染確認方法

ウイルス対策ソフトで確認する

ランサムウェアのようなマルウェアであれば、ファイルの暗号化という変化で気づくことができますが、メール関連情報の窃取の場合、外部からの連絡で気づくことが多くなります。
では実際に感染有無を各端末で確認するにはどのように行えばいいでしょうか。一番基本的な方法はセキュリティソフトによるスキャンになります。マルウェアを各端末から探し出して駆除します。セキュリティベンダーによってEmotetの特徴(ハッシュ値やシグネチャなど)がリリースされ、当該セキュリティソフトに反映されていれば、Emotetは各端末から正しくスキャンできるはずであり、駆除した際にはそれがEmotetだったと分かるようにラベル付けが行われるはずです。

自力で感染端末を見つけていくことは困難ではありますが、1つの手段として実施する場合、公開情報が参考になります。アナリストによってEmotetの解析が進むに従って、少しずつEmotetの特徴が公開されていきます。Emotetに関連するマルウェアのハッシュ値やファイル名、攻撃者が利用しているサーバの接続先など、いわゆるIoCIndicator of Compromise)と呼ばれるマルウェアの痕跡を公開しているサイトもあります[14]。こうしたサイトの情報は自社端末でマルウェアの有無を突合するための情報として利用できる可能性があります。

また、広く使われているツールとしてJPCERT/CCが公開したEmoCheckがあります[15]EmoCheckは端末内からEmotetの痕跡を探すツールです。Emotetが生成するファイル、プロセス、レジストリのエントリーには特徴があるため、これを手掛かりに検索します。コマンドラインでの実行も可能なため、自社の各端末に対してリモートで実行するなど、環境に合わせた使い方ができるようになっています。

セキュリティソフトであっても痕跡チェックのツールであっても、どちらも既知の情報から探索を行っているため、対象のマルウェアがアップデートされると対応できなくなる可能性があります。マルウェアの更新から多少のラグは発生するかもしれませんが、セキュリティで利用しているツールも定期的にアップデートすることが重要になります。

Emotetなどのマルウェア対策のPDF資料

Emotetを含む新種、亜種のマルウェア対策に関する下記のPDF資料がダウンロードできます。

・新種、亜種のマルウェア対策に強いMorphisec概要資料
・Morphisecが防いだ新種・亜種の命名されたマルウェア一覧

資料の詳細を見る

「Emotet」が検出された時の対処手順

ここではEmotetに感染した際に、一般的に有効とされる対処について記載します。ただし、Emotetに限らずですが、マルウェア感染の際はこうすれば絶対に大丈夫というものはありません。ユーザにより状況は異なるためです。例えば、上述の感染事例のように全社的にインターネットから隔離する対応は、業務継続不可というデメリットがあるはずであり、そうしたトレードオフを考慮して対応を行う必要があるということには留意すべきです。

端末をネットワークから隔離する

ランサムウェアの感染経路はメール、ウェブサイト、VPN機器、リモートデスクトップ等からの感染などが考えられます。
また、メールとウェブサイトからはファイル感染の可能性もあり、ファイル解凍・実行する際は参照元を確認し、信頼性があるかの確認が必要です。

報告・公表を行う

マルウェアに感染した事実は、社内の規定に従い上長やセキュリティ担当者に報告を行います。特にEmotetの場合は取引のある関係企業に対して、悪意はないものの、迷惑をかける恐れがあります。関係企業に対してなりすましメールに注意を促すために、マルウェア感染の疑いがある場合は、公表されることを推奨します。

セキュリティソフトによるスキャンを実施する

端末に導入されているセキュリティソフトでスキャンを行うことで、端末内にあるEmotet関連のファイルを削除します。ただし、ほとんどの場合、従来のセキュリティソフトではEmotetを駆除できないため、未検出であった場合でも感染がなかったとは言い切れません。また、セキュリティソフトによってはネットワークから隔離した状態だと効力を発揮できないものもあるため、セキュリティソフトの特性についても把握しておくことが必要です。

メールアカウントの停止、またはパスワードの変更を行う

メールアカウントの認証情報が盗まれている可能性もあります。攻撃者がメールサーバにアクセス可能になっている状況を解決するために、侵害されたユーザのメールアカウントの停止、またはパスワードの変更を行います。当作業の実施は感染のない他端末から実施します。

Emotetなどのマルウェア対策のPDF資料

Emotetを含む新種、亜種のマルウェア対策に関する下記のPDF資料がダウンロードできます。

・新種、亜種のマルウェア対策に強いMorphisec概要資料
・Morphisecが防いだ新種・亜種の命名されたマルウェア一覧

資料の詳細を見る

「Emotet」の最新状況(2021年執筆時点)

Emotetは数年にわたり大きな被害をもたらしてきましたが、現在Emotetの新たな感染被害は発生していません。

2021年1月にEuropolEmotetのインフラを制圧(テイクダウン)しました[16]Emotetのボットネットは無害化され、なりすましメールを送ることも、感染端末に対してマルウェアを送りこむこともなくなりました。

Emotetからデータを押収して間もなく、警察はEmotetが盗んだメールアドレスの中に自身のメールアドレスがあるかを突合するツールをリリースしています[17]。これによりEmotetの感染可能性を確認することができます。感染端末にはEmotetのモジュールが動いたままですが、これについてはEmotet自身の機能を利用し、自己消滅する機能をダウンロードさせることで解決する対応がとられました。当機能を受け取ったEmotet2021425日になると自身を削除するように動き出します。実際、425日には感染端末が急激に減少したことが確認されています[18]

Emotetの騒動はセキュリティ業界に新しい要素を取り入れることになりました。これまでの攻撃メールは、ばらまき型や標的型のみでしたが、「返信型」や「転送型」といったカテゴリーが加まりました。また、暗号化ZIPファイルをメールで送受信すること(通称PPAP)を廃止するキャンペーンもEmotetの騒動により加速しました[19]Emotetが利用していた暗号化ZIPファイルは解析が行えず、セキュリティ上のリスクになっていたからです。

Emotetは終息しましたが油断はできません。過去流行したランサムウェアWannaCryはキルスイッチ(接続などを緊急停止する仕組み)によって活動規模が縮小されました。Emotetは物理的に基盤を制圧することで活動を停止しましたが、新しいマルウェアやEmotetを模倣したマルウェアが再び発生する可能性はあります。現状のセキュリティ対策や体制、感染時の対応など改めて確認することが重要です。

Emotetなどのマルウェア対策のPDF資料

Emotetを含む新種、亜種のマルウェア対策に関する下記のPDF資料がダウンロードできます。

・新種、亜種のマルウェア対策に強いMorphisec概要資料
・Morphisecが防いだ新種・亜種の命名されたマルウェア一覧

資料の詳細を見る

[1]"Emotet" Banking Malware Steals Data Via Network (2021/11/8時点)

[2] Banking Trojans: A Reference Guide to the Malware Family Tree(2021/11/8時点)

[3]Emotet botnet harvested 4.3 million email addresses. Now the FBI is using Have I Been Pwned to alert the victims(2021/11/8時点)

[4]どう見分ける?増える「ばらまき型攻撃メール」(2021/11/8時点)

[5]マルウェア「Emotet(エモテット)最新攻撃メールについて(2021/11/8時点)

[6]マルウェア「Emotet」が「Office」アップデートを装う新たな手口(2021/11/8時点)

[7]「Emotet」感染メールに「新型コロナウィルス」を題材に使う手口(2021/11/8時点)

[8]「Emotet」また襲来 「メリークリスマス」「賞与支給」などの件名でだます(2021/11/8時点)

[9]この夏再開したEmotetの活動を総括する(2021/11/8時点)

[10]NICTに届いたEmotetへの感染を狙ったメール(2021/11/8時点)

[11]改ざんサイトからダウンロードされるEmotet(2021/11/8時点)

[12]近隣Wi-Fi経由で感染する「Emotet」亜種が確認される(2021/11/8時点)

[13]Emotetマルウェアからランサムウェアの被害に--IBMが日本企業に警鐘(2021/11/8時点)

[14]Cryptolaemus Pastedump(2021/11/8時点)

[15]JPCERTCC/EmoCheck: Emotet detection tool for Windows OS(2021/11/8時点)

[16]WORLD’S MOST DANGEROUS MALWARE EMOTET DISRUPTED THROUGH GLOBAL ACTION(2021/11/8時点)

[17]Check if your e-mail address is present in the Emotet botnet data(2021/11/8時点)

[18]マルウェアEmotetのテイクダウンと感染端末に対する通知(2021/11/8時点)

[19]PPAP問題、これが総まとめだ――名付け親が語る廃止のきっかけと「2つの壁」とは(2021/11/8時点)